E-Voting-Projekt der Post

Forscher finden nächste kritische Sicherheitslücke im E-Voting der Post

Uhr
von Daniel Schurter, Watson

Das E-Voting-Projekt der Post kommt nicht aus der Schusslinie. Am Tag, an dem der Hacker-Wettbewerb endete, machten Sicherheitsforscher weitere Schwachstellen publik. Und dies soll auch andere Länder betreffen.

(Source: niyazz / Fotolia.com)
(Source: niyazz / Fotolia.com)

Sarah Jamie Lewis und ihre Kollegen werden zum Albtraum für die Befürworter von E-Voting: Am Sonntagabend twitterte die renommierte IT-Sicherheitsforscherin, dass die von der Schweizerischen Post in Auftrag gegebene Software eine zweite kritische Sicherheitslücke aufweise. Zudem gebe es noch andere schwerwiegende Probleme.

Es sei an der Zeit, den ganzen Entwicklungs- und Finanzierungsprozess für das Schweizer E-Voting infrage zu stellen, kommentierte die Sicherheitsforscherin. Neben der Schweiz sei auch Australien betroffen.

Der Zeitpunkt der Veröffentlichung ist für die Verantwortlichen beim Bund und bei der Post höchst unglücklich. Am Vortag endete der "E-Voting-Intrusionstest" von Bundeskanzlei und Post, bei dem Hacker aufgefordert waren, die Software auf Schwachstellen zu prüfen.

Sarah Jamie Lewis und ihre Forscherkollegen hatten wegen der aus ihrer Sicht fragwürdigen Bedingungen nicht am Hacking-Wettbewerb teilgenommen – und knüpften sich den Code trotzdem vor. Sie kommen nun erneut zu einem vernichtenden Urteil: Das E-Voting sei manipulierbar, und zwar so, dass die Überprüfbarkeit nicht gewährleistet sei.

Gerade fanden im Kanton Zürich die Parlaments- und Regierungswahlen statt und gerade erst, am Morgen des Wahlsonntags, hatte der Schweizer Bundeskanzler das E-Voting in einem SRF-Interview verteidigt. "Weil wir im Test einen Fehler gefunden haben, muss man nicht das Ganze infrage stellen", sagte Bundeskanzler Walter Thurnheer.

Das war wenige Stunden bevor die IT-Sicherheitsforscher die laut ihrer Einschätzung nächsten gravierenden Schwachstellen im E-Voting-System publik machten, das die Firma Scytl im Auftrag der Schweizerischen Post entwickelt hat.

Auch Australien ist betroffen

Laut den Sicherheitsforschern ist auch Australien betroffen. In New South Wales fanden gerade Wahlen mit der sogenannten "iVote"-Plattform statt. Und bei dieser Software sei der gleiche Programmcode von Scytl zum Einsatz gekommen.

Die Verantwortlichen dort müssten der Post dankbar sein, schreibt eine australische Kollegin von Sarah Jamie Lewis: Sonst wären die "Wahlbetrugsmöglichkeiten", die nun aufgedeckt wurden, vermutlich unentdeckt geblieben.

Die Reaktionen

Seitens der Post und der Bundesverwaltung liegen noch keine Stellungnahmen zu den neuen Sicherheitslücken vor. Und auch die Software-Anbieterin Scytl schweigt bislang.

Der Chaos Computer Club Schweiz (CCC-CH) reagierte umgehend mit einem offenen Brief, der an die Medien und Bundeskanzler Thurnherr gerichtet ist. Darin heisst es:

"Man fragt sich, wann die BefürworterInnen erkennen, dass ihr Vorhaben zum Scheitern verurteilt ist. Was muss noch alles gezeigt werden, bis auch den letzten NachzüglerInnen klar wird, dass ein sicheres E-Voting-System nicht existiert? Von der vielgepriesenen 'unknackbaren' sogenannten 'Universellen Verifizierbarkeit' ist das System der Post so weit weg wie ein Primarschüler von der Doktorarbeit."

Ein Twitter-User kritisierte die von der Post bei renommierten Unternehmen in Auftrag gegebenen Gutachten, die dem E-Voting-System Unbedenklichkeit bescheinigt hatten:

Die Schwachstelle

Für interessierte Internet-User erklärt die Sicherheitsforscherin in diesem Twitter-Thread die technischen Details und liefert auch eine kritische Einordnung. Es handle sich nicht um "isolierte", einfache zu lösende Probleme.

Kurz zusammengefasst und einfach erklärt: Kriminelle Insider könnten dank der neuen kritischen Sicherheitslücke die elektronische Stimmabgabe manipulieren. Und zwar indem sie die Stimmen für missliebige Kandidaten "verderben".

Im Gegensatz zur ersten kritischen Sicherheitslücke, die die universelle Verifizierbarkeit betraf, würde der nun geschilderte Hackerangriff nicht unbemerkt bleiben, sondern Spuren hinterlassen, twitterte die Sicherheitsforscherin. Aber die Beweise würden sagen, dass alles in Ordnung sei.

Die Sicherheitsforscherin Vanessa Vague macht die wissenschaftlichen Arbeiten zu den neuen Sicherheitslücken beim E-Voting-System via Twitter zugänglich.

Dieser Artikel erschien zuerst bei Watson.

Webcode
DPF8_131847